Leonardo Araneda.
¿Cuáles son los principales riesgos cibernéticos?
Los riesgos más comunes son hacking, fraude o estafa informática, suplantación de identidad y ciberterrorismo. Si lo clasificamos en eventos maliciosos, sería todo lo que implica lucrar a cambio de extorsión, intromisión o divulgación de información, y eventos no maliciosos, enfocados en fallas de seguridad o pérdida de información por error humano. Cabe destacar que en la actualidad los ciberataques dejan pérdidas por US$5.367 millones a nivel nacional.
¿Qué errores cometen las empresas en relación al tema?
En primer lugar, no tener una cultura de protección de la información, es decir, trabajadores conscientes de las grandes pérdidas que podría sufrir la empresa en el caso de robo de los datos. Segundo, pensar que su sistema de seguridad está muy blindado y, por lo tanto, es imposible de hackear, cuando en el escenario real, las empresas estamos siempre dos o tres pasos atrás. En tercer lugar, no asumir que lo importante no solo es realizar el respaldo de la información, sino que garantizar la recuperación.
¿Cuáles son los mercados más afectados por estos ataques?
Sobre un 70% el mercado financiero debido al tipo de información que maneja, la cual es mucho más tangible para poder acceder u obtener lucro desde la perspectiva de un hacker: información de tarjetas de crédito, contraseñas y estados de cuenta, entre otros.
Posteriormente, le siguen las instituciones públicas, en donde se almacena información política sensible, de hecho, hace un tiempo el Servicio de Impuestos Internos y el Registro Civil presentaron intentos de hackeo. Y tercero, se ubica el mercado de retail, en donde el objetivo es acceder a cuentas de clientes y obtener claves para cometer fraudes.
¿Qué países a nivel regional están llevando la delantera en este tema?
En temas legales, Argentina está un paso más adelante porque tiene una ley bastante más amplia que la que tenemos nosotros y, por ende, responsabiliza mucho más a las personas o a las empresas en el tratamiento de la información. En Chile, este tema es bastante vago, puesto que tenemos una ley de los 90’ que no se ha modificado, que es muy ambigua y que tiene multas muy bajas. En este sentido, ojalá existiera un marco más desarrollado, un regulador destinado netamente a la protección de información.
¿Cuáles son las recomendaciones en esta materia?
A raíz de que falta una mayor concientización y cultura sobre la protección de la información de parte de las compañías hacia sus trabajadores, es recomendable que exista un manejo interno confidencial y sensible del tratamiento de los datos, ya que muchas veces el error se inicia cuando la persona abre un correo sin revisar de quién viene o si el adjunto es seguro. Además, debe haber expertos que día a día estén evaluando sus sistemas y servidores, entre otros, mediante algún dispositivo o antivirus que permita identificar debilidades en la red, como posibles intromisiones. Pero, sin duda, la medida más eficaz hoy en día es pensar y actuar como hacker, ya que preguntándome cómo puedo ingresar a mi empresa y vulnerarla, voy a saber cómo protegerla después.
